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Abstract of DE1 9960978 

System for controlling electronic data access 
where a data archive is controlled by a third party 
and a first party deposits data files in an archive 
that can then be searched by an authorized 
second party.- DETAILED DESCRIPTION - 
Secure system comprises: a first agent program 
that allows a computer to deposit a data file in a 
data archive, a second agent program that allows 
a user computer access rights to the electronic 
data file in the archive. An authorization list for 
the data file is produced and managed by the 
provision (first) agent program. An access right 
list can be accessed using the second (user) 
agent program. Means are provided to allow the 
provider computer to send access rights to the 
user computer or to alter its access rights. Means 
are also provided to allow the provider computer 
to check the access rights of the user computer 
before it has free access to the data file using the 
second agent program 
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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

@ System fur ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen 
von Daten 

@ Wenn ein elektronisches Dokument zur Revision durch 
andere Stellen verfugbar gemacht wird, ist es oft vorteil- 
haft, das Dokument in einem von einer dritten Partei ver- 
walteten Archiv oder einer von einer dritten Partei verwal- 
teten Datenbank zu speichern. Es wird ein System zur Ver- 
fiigung gestellt, in dem die Stellen, die vom Urheber ei- 
nes Dokuments die Berechtigung zum Zugriff auf dieses 
Dokument Im Datenarchiv erhalten haben, sicher nach 
dem im Archiv einer dritten Partei aufbewahrten Doku- 
ment suchen konnen, ohne dass sie darauf vertrauen 
miissen, dass der Verwalter des Archiv sichere Informati- 
on uber ihre Zug riffs rechte liefert. Der Dokumenturheber, 
der Archivverwalter und alle Stellen, die Zugriffsrechte 
auf Daten im Archiv besitzen, haben Tresorumgebungen, 
■ die sichere Erweiterungen ihrer betreffenden Arbeitsbe- 

* reiche sind. Der Tresor des Dokumenturhebers verwaltet 

• fur jedes im Archiv deponierte Dokument eine Zugriffs- 
kontroll-Llste (ACL). Der Tresor jeder Stelle, die Zugriffs- 
rechte auf Dokumente im Archiv besitzt, verwaltet eine 
Fahigkeitsliste der Zugriffsrechte der betreffenden Stelle 
auf alle im Archiv gespeicherten Dokumente. Die Stelle 
selber bewahrt auf ihrem eigenen Arbeitsplatz emen Be- 
weis der neuesten Version ihrer Fahigkeitsliste auf. Wenn 
die ACL fiir ein Dokument Im Tresor des Dokumenturhe- 
bers aktualisiert wird, stellt der Tresor des Urhebers fest, 
welche Stellen von der Anderung betroffen sind, und 
ubertragt die Anderungen an die Tresore der betroffenen 
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Beschrcibung 

Gegen stand der Erfindung 

Die vorliegende Erfindung betrifFt das Gebiet der elektro- 5 
nischen Datcnspeicherung und licfcrt spczicll ein sichcres 
Datenarchiv- und -austauschsystem, das von einer dritten 
Partei, die die Funktion eines Verwalters austibt, verwaltet 
wird, und in dem eine Zugriifskontrolle beim Suchen und 
Abrufen von Dalen erzwungen wird. lO 

Hintergrund der Erfindung 

Neuere parallele Fortschritte in der Netzwerkkommuni- 
kation und der PKT-Technologic (public key infrasUaicture - 15 
Infrastruklur offentlicher Schlussel) haben bewirkt, dass 
Untemehmen und Institutionen beginnen, elektronische Do* 
kumentation zur Aufzeichnung und fur Transaktionen jegli- 
cher Art einzusetzen. Mit Verbesserungen bei der Integritat 
und Sicherheil. der tJbcrtragung kann zuvcrsichtlich da von 20 
ausgegangen werden, dass Dokumente, die elektronisch 
uber das Internet und andere ofifene Nelzwerke gesendet 
werden, intakt und unverfalscht ankommen. Datenbankver- 
waltungssysteme, die mit modemen Computerspeichern mit 
einer Kapazitat von mehreren Gigabyte gekoppelt sind, ha- 25 
ben es Untemehmen und Institutionen ermoglichi, auf die 
Aufbewahrung von Dokumenten in Papierform zu verzich- 
ten, deren Masse Immobilienkosten verursacht. 

Typischerweise niussen Daten, die von einer S telle slam- 
men, aus verschiedenen Grunden an eine andere tibertragen 30 
werden, z. B. zur Aufbewahrung, zur Prufung usw. Die Da- 
teneiemente konnten in Form unstrukturierter Dokumentda- 
teien oder strukturierter Datensatze vorliegen wie z. B. 
Konto- und andere Finanzinforiiialionen. Tin Beispiel un- 
strukturierter Daten kann es notwendig sein, ein Dokumenl 35 
zum Zweck der Prufung vom Ursprungssystem an andere 
Computer im gleichen System oder an Computer auf ande- 
ren Systemcn zu schicken. Dies konnte gleichermaBen in ei- 
ner Geschaftssituation (z. B. einem Vorschlag fiir ein Joint 
' Venture oder einer komplexen Angebotsausschreibung) wie 40 
auch in einer Institution (z. B. wenn eine Dissertation von 
akademischen Beratern uberpruft wird, bevor sie einer Prii- 
fungskonuiiission vorgelegt wird) vorkonunen. Das Doku- 
ment ist elektronisch erstellt worden, da auf diese Weise 
Uberarbeitungen und Einfugungen (speziell wenn sie um- 45 
fangreich sind) leicht eingearbeitet werden konnen, ohne 
dass jedcsnial das gesainte Dokument neu getippt werden 
muB. 

Wenn das Dokument in elektronischer Form vorliegt, 
kann es auch leichter uberpruft werden, weil es in dieser so 
Form leichter zu ubertragcn ist. Vorgcschene Bctrachter 
konnen fcststellcn, dass ein Dokument verfugbar ist, indeni 
sie das System durchsuchen, nachdem ihnen der Zugriff auf 
den Speicherort des Dokuments gewahrt worden ist. 

Es gibt mehrere Griinde, z, B, Sicherheit, Datenintegritat 55 
und System- oder Netzwcrkvcrfugbarkeit, wcshalb der Do- 
kumcnturhcbcr ein Dokument nichl lokal speichem will, 
wenn dies bedeutet, dass hinter der Firewall Dritten Zugriff 
gewahrt wird. Diese Grunde werden in unserer gleichzeitig 
eingereichten Patentannieldung mil dem lltel "System for 60 
Electronic Repository of Data Enforcing Access Control on 
Data Retrieval" (IBM Docket No. CA998-030), das gemein- 
sam iibertragen wurde und hiennit durch Bezugnahme des 
vorliegenden Dokuments isi, ausfiihrlicher beschrieben. 

Unsere gleichzeitig eingereichte Anmeldung betrifft ein 65 
System, in dem die Integritat der und der ZugrilT auf die in 
einem Archiv gespeicherten Daten unabhangig von Aktio- 
nen der als Verwalter des Archivs agierenden dritten Partei 
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verwaltet wird. 

Die in der genannten Anmeldung beschriebene Erfindung 
ist bei Systemen mit einer groBen Anzahl von Dokumenten, 
die fiir eine groBe Anzahl von Benutzem zuganglich sind, 
sehr eflizienl, da die Information iiber den autorisierten Zu- 
griff auf die Dokumente an einer einzigen, zentralen Stclle 
gespeichert werden, und zwar im Archiv selber. Benuizer 
erhalten durch systemexteme Mittel sichere Kenntnis ihres 
Zugriffs auf Dokumente. 

Die vorliegende Erfindung ist eine Abwandlung, in der 
das System selber die InfonnaUon uber den autorisierten 
Zugriff enthalt, die auch sicher vor Aktionen der als Verwal- 
ter des Archivs agierenden dritten Partei ist. 

Kur/bcschreibung der Erfindung 

Es ist deshalb eine Aufgabe der vorliegenden Erfindung, 
ein System zur elektronischen Speicherung und zum elek- 
tronischen Austausch von Dokumenten zur Verfugung zu 
stellcn, in dem die Dokumente physisch in eincin von einer 
dritten Partei verwalteten Archiv gespeichert werden, in 
dem die Benutzer aber suchen konnen, um festzustellen, auf 
welche Dokumente im Archiv sie zugreifen konnen. 

Eine weitere Aufgabe der Erfindung besteht darin, ein Sy- 
stem zur Verfugung zu stellen, in dem die Integritat der im 
Archiv gespeicherten Informationen iiber autorisierte Zu- 
griffe im System verfugbar, aber nicht von Aktionen der 
dritten Partei, die das Archiv verwaltet, abhangig ist. 

In einem Aspekt hal die vorliegende Erfindung also ein si- 
cheres System zum Suchen elektronischer Datendateien in 
einem Datenarchiv zum Ziel. Das System besteht aus einer 
Kommunikationsumgebung, in der ein erstes Agentenpro- 
gramm fiir cincn Computer, der eine elektronische Datcnda- 
tei im Datenarchivsysteiii deponiert, und ein zweites Agen- 
tenprogramm fiir einen ersten Benutzercomputer mit Zu- 
griffsrecht auf die elektronische Datendatei vorhanden ist. 
In einer Nachweisliste fiir die elektronische Datendatei sind 
Zugriffs kontrollcn fiir die elektronische Datendatei aufgc- 
fuhrt. Die Nachweisliste ist fiir ein erstes Agentenprogramm 
zuganglich und wird von diesem verwaltet. Der erste Benut- 
zercomputer besitzt eine Aufzeichnung seiner Zugriffs- 
rechte auf die elektronische Datendatei, die fiir das zweite 
Agentenprogrannn zuganglich ist und von diesem verwaltet 
wird. Wenn an der Nachweisliste Anderungen vorgenom- 
men werden, die die Zugriffsrechte des ersten Computers 
auf die elektronische Datendatei betreffen, werden diese 
Anderungen voiii ersten Agentenprogrannn an das zweite 
Agentenprogramm iibertragen, so dass die Aufzeichnung 
des ersten Benutzercomputers iiber seine Zugriffsrechte ak- 
tualisiert werden kann. Das erste Agentenprogramm ist auch 
in der Lagc, die Zugriffsrechte des ersten Benutzercompu- 
ters auf die elektronische Datendatei zu priifen, bevor die 
eleku-onische Datendatei fiir das zweite Agentenprogramm 
freigegeben wird. 

In einem weiteren Aspekt bietet die Erfindung ein Verfah- 
rcn fiir eine sichere elektronische Datcnsuchc in einem elek- 
tronischen Datenarchiv in einem System mit einer Nach- 
weisliste, in der Zugriffsrechte auf die elektronische Daten- 
datei im Datenarchiv aufgefiihrt sind, und einer Aufzeich- 
nung, in der Dokumentzugriffsrechte fiir jeden ('omputer 
mit Zugriff auf die im Archiv gespeicherten elektronischen 
Daten aufgefiihrt sind. Das Verfahren besteht aus der Aktua- 
iisierung einer Nachweisliste fiir eine im Archiv gespei- 
cherte elektronische Datendatei, der Identifikation alter von 
der Aktualisierung beu-offenen ('omputer mit geandertem 
ZugrifTsrecht auf die elektronische Datendatei, die UberU-a- 
gung der Anderung des Zugriffsrechte an alle betroffenen 
Computer, die Aktualisierung der Zugriff srecht- A ufzeich- 
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nungcn allcr bclroffenen Computer und die Ubcrtragung dcr 
aktualisierten Zugriffsrecht-Aufzeichnungen an die betrof- 
fenen Computer. 

In einem weiteren Aspekt bielet die Erfindung ein sic he- 
res System zum Suchen in einem Datenarchivsystem ge- 5 
spcichcrtcr clcktronischer Dalen, das Mittel bcsitzt, urn ci- 
nen Nachweis zu fuhren, in dem Zugriffskontrollen fiir jede 
im Archiv gespeicherte elektroni&che Datendatei aufgefuhn 
sind, und auBerdem Mittel, um den Zugriff auf jeden Nach- 
weis auf einen Computer mit Deponieningsrecht zu be- lO 
schranken, Mittel, uiii eine Aufzeichnung zu fiihren, in der 
Zugriffsrechte auf die elektronischen Datendateien fur jeden 
Computer mit Zugriffsrecht auf mindestens eine elektroni- 
sche Datendatei im Datenarchiv aufgefiihrt sind, und Mittel 
zuin Aktualisicren der Aufzeichnung fiir jeden Computer, 15 
der von einer Zugrilfsrechlanderung in einem Nachweis be- 
Uroffen ist. 

In der Erfindung werden auch Datenlrager bereitgestellt, 
die mit Programmcode zur Realisierung des oben beschrie- 
bcncn Systems oder Vcrfahrens codicrt sind. 20 

Kurzbeschreibung der Zeichnungen 

Im folgenden werden Ausfuhrungsbeispiele der Erfin- 
dung ausfuhrlich in Verbindung mit den beigefugten Zeich- 25 
nungen beschrieben. Die Zeichnungen haben folgenden In- 
halt: 

Fig. 1 ist eine wSchemazeichnung von einem Dokumentar- 
chivsystem, das von einer dritten Parlei verwaltet wird. 

Fig. 2 ist eine Schemazeichnung, ahnlich wie Fig. 1, in 30 
der ein Tresor-Dokumentarchivsystem dargesteilt ist, das in 
der bevorzugten Ausfuhrungsform der vorliegenden Erfin- 
dung vcrwendct wird. 

Fig* 3 ist ein FluBdiagraiiini des Dokuinenterstellungsver- 
fahrens gemaB der Erfindung. 35 

Fig. 4, bestehend aus Fig. 4A und Fig. 4B ist ein RuBdia- 
gramm des Dokumentabrufverfahrens gemaB der Erfindung. 

Fig. 5 A und 5B sind FluBdiagramnic cines Vcrfahrens, 
gemaB der bevorzugten Ausfuhrungsform der Erfindung, 
das fur die Unveranderlichkeit der Zugriffskontrolle fiir Do- 40 
kumentsuche und -abruf sorgt. 

Fig, 6 schlieBlich ist ein FluBdiagramm eines erfindungs- 
gemaBen Verfahrens zur Zuordnung von EignerzugrifFs- 
rechten auf gespeicherte Dokumente. 

45 

Ausfiiiirliche Besclireibung der bevorzugten Ausfuhrungs- 
fonnen 

Eine konventionelle Anordnung fiir ein Dokumentarchiv- 
system, bei dem eine dritte Partei ais Verwalter agiert, ist in 50 
Fig. 1 dargestcHt. Ein Dokumenturhebcr 100 kann Doku- 
mente Liber seine Verbindung 102 mit einem femcn Doku- 
mentarchivdienst 104, z. B. einer von einer dritten Partei 
verwalteten Datenbank, deponieren. Als Eigner der depo- 
nierten Dokumente kann der Urheber 100 Zugriffsrechte auf 55 
die Dokumente zuwciscn. Der Urheber eines Dokumcnts 
kann bcispielsweise fesllegen, dass ein Geschaflsparlncr 
106 die "Lese"-Berechtigung hat, d. h. dass er das Doku- 
ment iiber seine Verbindung 108 mit dem Dokumentarchiv- 
dienst 104 abrufen, aber nicht andern darf. 60 

In solchcn konvcntioncllcn Systcmen ist das vom Urhe- 
ber 100 deponierte Dokument normalerweise nicht ver- 
schliisselt, so dass der Geschaftspartner 106 das Dokument 
auf Verlangen priifen kann. Der (Jrund dafur ist, dass es 
nach dem vStand der Technik Probleme mit der Dechififrie- 65 
rung von Dokumenten gibt. Fiir die Dechiffrierung eines 
Dokuments ist der Zugriff auf den privaten Schliissel des 
Dokumenturhebers 100 erforderlich. Urn den Zugriff auf 



seinen privaten Schliissel zu ermoglichen, muB dcr Doku- 
menturhebcr 100 entweder selber zu alien Zeiten, zu denen 
moglicherweise eine Dechiffrierung angefordert werden 
konnte, online erreichbar sein, um die Dechiffrierung selber 
vorzunehmen (die Frage der Systemverfiigbarkeit), oder er 
muB im voraus einen Plan cntwickcln, um seinen privaten 
Schliissel dem Geschaftspartner 106 direkt oder uber einen 
vertrauenswUrdigen Proxy-Server (nicht dargesteilt) zu- 
kommen zu lassen. 

In der US-Patentschiifl Nr, 5,491,750 der International 
Business Machines Corporation, mit dem Utel "Method and 
Apparatus for Three-Party Entity Authentication and Key 
Distribution Using Message Authentication Codes", wird 
ein System beschrieben, das die Verteilung privater Sit- 
zungsverwaltungsschliissel eniioglicht, die von zwci oder 
mehr Kommunikalionspartnem gemeinsam benutzt werden 
konnen, nachdem die Kommunikationspartner durch einen 
vertrauenswUrdigen Vermittler authentifiziert worden sind. 
Die so erzeugten Schliissel und andere ahnliche sind aber 
kurzlcbig und ihre Verwendung solltc auf das absolut Not- 
wendige beschrankt werden. Es ist nicht klar, dass ein sei- 
ches Konzept geeignet ware, Dechiffrierschlussel in einem 
Dokumentrevisionssysiem mit einem dauerhaften Doku- 
mentarchiv sicher zwischcn Kommunikationspartnern zu 
uberu^gen. 

In konventionellen Systemen, in denen Dokumente fur ei- 
nige Zeit deponiert werden und nicht chiffriert sind (Fig. 1), 
muB darauf vertraut werden, dass die dritte Partei, die den 
Archivdienst 104 verwaltet, die Integritat des Dokuments 
bewahrt. 

Das Dokumentarchivsystem in der bevorzugten Ausfuh- 
rungsform der vorliegenden Erfindung ist mit dem Produkt 
IBM Vault Registry crstellt, das Gcgenstand der US-Patent- 
anmeldung Nr. 980,022 mit dem Utel "Secure Server and 
Method of Operation for a Distributed Information System", 
eingereicht am 26. November 1977 und der IBM Corpora- 
tion ubertragen, ist. U. S. Die Patentschrift Nr. 980,022 ist 
hiermit durch Bczugnahme Teil des vorliegenden Doku- 
ments. Das Produkt IBM Vault Registry bielet eine erwei- 
terte Webserver-Umgebung, die eine sichere Erweiterung, 
einen sogenannlen Tresor, der Klientenumgebung imple- 
mentiert. Dieses System verUraut auf die im Hintergrund der 
Erfindung beschriebene moderne Obertragungslechnologie, 
dass die elektronische Ubcrtragung von Dokumenten und 
anderen Daten intakt und fehlerfrei ankomml. Ressourcen in 
einem Client-Tresor sind nur verfugbar, wenn der Zugriff 
vom Client mit einer starkcn Authcntifizierung mit Hilfe 
von zertifizierten offentlichen Schliisseln erfolgt. Abhangig 
von derUmgebung kann der Zugriff iiber den Web-Browser 
des Client erfolgen. 

Dcr Tnformationsgehalt des Trcsors ist aus Griinden der 
Vertraulichkeil chiffriert. Jeder Tresor auf einem Server bc- 
sitzt einen eindeutigen Chiffrierschliissel und Mechanis- 
men, die den Zugriff' auf die Schliissel verhindern, sofem er 
nicht iiber den vom Eigner des Tresors genehmigten vertrau- 
cnswiirdigcn Pfad, z. B. einen Browser, erfolgt. Programme, 
die in einem Tresor laufen, sind durch Betricbssystcmdicn- 
ste isoliert, um folgendes zu gewahrleisten: 

a) dass sie in einem ProzeB mit einer Systemidentitat 
(einem virtuellcn Logon) laufcn, so dass die Idcndtat 
abhangigen Prozessen zur VerfUgung steht, ohne dass 
eine Anderung durch ein im Tresor laufendes Pro- 
gramm moglich ist; 

b) dass sie auf den Dateninhall des Tresors, in dem sie 
laufen, zugreifen konnen - aber auf keinen anderen; 

c) dass sie vom Eigner des Tresors fiir die Ausfuhrung 
im Tresor genehmigt werden; und 
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d) dass sie signicrt. sind, um Manipulationcn und An- 
griffe durch sog. '"IVojanische Pferde" zu verhindem. 

Programme, die in einem TVesor laufen, konnen Informa- 
donen in dem gleichen Tresor oder in anderen Tresoren, die 
gegenscitig sichcrcn Zugriif ihrc offcnrlichcn Schlussel ha- 
ben, deponiert werden. Normalenveise befinden sich diese 
Tresore auf dem gleichen Tresorserver, sie konnen aber auch 
auf verschiedenen Tresorservem mil Zugriff auf cine ge- 
meinsame Zerlifizierungsstelle liegen, die die Information 
zum offenllichen Schlussel liefert. Iiii Zusanuiienhang mit 
einem Tresorarchiv kann "deponieren" verschiedenes be- 
deuten. In einer Implementierung kann "deponieren" die 
Chiffrierung der Daten im Chiffrierschlussel des Zieltresors 
und die Signicrung dcr Datcn ini Signicrschlusscl des depo- 
nierenden Tresors bedeuten. Tresorprogranurie konnen nicht 
direkt auf Chiffrier- oder Signierschlussel zugreifen. Dies 
geschieht iiber eine API. Optional kann die "Deponierungs"- 
Funklion Informationen in eine Warteschlange im Zieltresor 
schrcibcn. Eine anderc Option bielet eincn "Deponicrungs- 
beweis", der bestatigl, dass die Information deponiert 
wurde, und dass ein Programm im Zieltresor die Daten ge- 
offnet hat. All diese "Deponierungs'-Funktionen bieten ein 
Mittel, um Informationen so zwischen Tresoren auszutau- 
schen, dass: 

a) ihr UrsprungsprozeB nicht geleugnet werden kann; 

b) ihr Inhall nicht von denen, die die InterprozeBkom- 
munikationspuffer inspizieren, eingesehen werden 
kann; und 

c) die Zustellung gewahrleistet ist. 

Wenn cine Anwcndung keine Daten in die Warteschlange 
des Zieltresors steUen will, kann sie sich dafur entscheiden, 
die Information in einer Datei oder Datenbank zu speichem 
oder andere Systemdienste zu benutzen, die die Daten als 
"undurchsichtiges" Element behandeln konnen (z. B. Seria- 
Hsicrung fur die Fortdaucr des Objekts). Dicsc undurchsich- 
dge Information kann mit Standardverfahren zum Zweck 
der Sicherung und Wederherstellung verwaltet werden. Ihr 
Inhalt kann jedoch nur von einem im Kontext des Eignertre- 
sors laufenden Programm mit Hilfe der Sicherverwahrungs- 
Anwendungsprogrammschnittstelle dechiffrierl werden. 
Mit dem Produkt IBM Vault Registry wurde die bevorzugte 
Ausfiihrungsform der Erfindung entwickelt wie in Fig, 2 
schematisch dargestellt. 

Wie in dem System aus Fig. 1 kann auch in dem in Fig. 2 
dargestelllen Konzept ein Dokumenlurheber 200 Doku- 
mente iiber seine Verbindung 202 zu einem Dokumentar- 
chivdienst^ 204 Dokumente deponieren und als Eigner der 
dcponicrtcn Dokumente dritten Partcicn 206, z. B. Gc- 
schaflspartncm, die Liber ihre eigcnen Nelzwerkverbindun- 
gen 208 auf die Dokumente im Dokumentarchivdienst 204 
zugreifen konnen, Zugriffsrechte auf die Dokumente zuord- 
nen. Anders als bei dem oben beschriebenen System sind 
die Bcnutzcr des Dokumentarchivsy stems aber nicht gc- 
zwungcn, darauf zu vcrlrauen, dass die drillc Partci die Inte- 
gritat der im Archiv hinterlegten Dokumente bewahrt. 

Das Dokumentarchivsystem 204 in der bevoreugten Aus- 
fiihrungsform besteht aus zwei Komponenten, einem An- 
wcndungsscrvcr 210 und einem Tresor-Controllcr 214. Der 
Anwendungsserver (AS) ist ein Programm zur Verwaltung 
des Dalenbankarchivs 212, das sich auf dem gleichen Sy- 
stem oder auf einem fernen System in einem abgeschlosse- 
nen Netzwerk befindet. Der Tresor-CJontroller 214 enthalt 
mehrere Komponenten: Benulzertresore 216, 218, die indi- 
viduell den Dokumenturhebem 200 und Geschaftspartnem 
206 zugeteilt sind, einen AS-Tresor 220, der dem Anwen- 



dungsserver 210 zugeteilt ist, und ein Tresor-Uberwa- 
chungsprogramm 222. 

Ein Benutzertresor 216 oder 218 ist nur fiir den Benutzer 
(Dokumenturheber 200 oder Geschaftspartner 206) zugang- 
5 lich, dem der Tresor zugeordnet ist, und nur nach ordnungs- 
gcmaBer Authentifikation. Die cinzclncn TVesorc haben kei- 
nen direkten ZugrifF auf die Dokumentdatenbank 212; der 
Zugrifr erfolgt iiber den AS-Tresor 220 und den Anwen- 
dungsserver 210. 

10 Die Anwendungsserver-Komponente 210 lauft nicht auf 
einer vertrduenswiirdigen Computerbasis, sondem kann auf 
jeder beliebigen Plattform ausgefuhrt werden. Der Anwen- 
dungsserver besitzt eine Gegenkomponente, die im AS-Tre- 
sor 220, der ihm im Tresorserver. 214 zugeteilt ist, lauft. Der 

15 AS-Tresor 220 kann mit dem Anwendungsserver 210 kom- 
munizieren und hat iiber den Anwendungsserver Zugrilf auf 
die Dokumentdatenbank 212. 

Fig. 3 ist ein RuBdiagranrmi des Dokumenterstellungs- 
prozesses gemaB der bevorzugten Ausfiihrungsform der Er- 

20 findung. In der Umgebung von IBM Vault Registry ist ein 
personlicher Tresor im Prinzip eine sichere Erweiterung der 
Umgebung des Tresoreigners. Die Interaktion zwischen den 
ProzeBschritten in Fig. 3 ist deshalb zwischen den Tresoren 
des Dokumenturhebers und des Anwendungsscrvers daige- 

25 stellt. 

Wenn ein Dokument in dem Daten archiv erstellt wird, 
wird es zuerst vom Arbeitsplatz des Benutzers, der es er- 
stellt hat oder sein Urheber ist, in den personlichen Tresor 
des Benutzers (Dokumenturhebers) gesendet (Block 300), 

30 wo das Dokument mit dem privaten Signierschliissel des 
Benutzertresors "signiert" wird (Block 302). 

Mit einer elektronischen Signatur eines Datenelementes 
garanticrt der Signierende die Integritat des Datenelemen- 
tes. Eine Signatur kann berechnet werden, indem zuerst ein 

35 Digest des Datenelementes berechnet wird. Das Digest ist 
eine relativ kleine Struktur (z. B. 128 Bit fiir eine MD2- oder 
MD5-Zusammenfassung) mit bestimmten Eigenschaften, 
um die Sichcrheit zu gcwahrleisten. Erstcns ist sie eine Ein- 
wegfunktion, d. h. aus einem Digest kann das Originaldoku- 

40 ment, aus dem es hervorgegangen ist, nicht reproduziert 
werden. AuBerdem ist es unmoglich (oder computertech- 
nisch nicht machbar), zu einem Digest ein zweites Vor-Bild 
zu linden, das das gleiche Digest hat. Femer ist das Digest 
auch kollisionsresistent. Das heiBt, es ist auBerst unwahr- 

45 scheinlich, dass zwei verschiedene Vor-Bilder das gleiche 
Digest erzeugen. 

Das Digest des Datenelementes wird dann mit dem priva- 
ten Signierschliissel der Ben utzerlresoran wend ung chiffrierl 
(Block 304). In der bevorzugten Ausfiihrungsform wird so- 

50 wohl ein symmetrisches ais auch ein asymmetrisches Kryp>- 
toghraphievcrfahren mit ofTentlichcm Schliissel benutzt. 

Bei der Kryptographie mit offentlichem Schliissel besitzt 
eine Anwendung zwei Schlussel, einen offenllichen und ei- 
nen privaten, die als Schliisselpaar bezeichnet werden. Der 

55 private Schliissel wird von der Anwendung lokal gespei- 
chcrt. und wird wcitcr untcn ausfuhrlichcr beschriebcn. Der 
ofTcntliche Schliissel ist fur alle Bcnutzcr zuganglich, in der 
Regel iiber einen Verzeichnisdienst, z. B. X500. Die Vertei- 
lung ofTentlicher Schliissel ist in Fachkreisen bekannt und 

60 wird in der vorliegenden Spezifikadon nicht weiter erlautert. 
Wenn cine Kryptographie mit offentlichem Schliisse I 
verwendet wird, kann ein mit dem ofTentlichen Schliissel 
chiffriertes Dalenelement nur mit dem zugehorigen privaten 
Schliissel dechiffriert werden. Entsprechend kann ein mit 

65 dem privaten Schlussel chiflriertes Datenelement nur mit 
dem offentlichen Schliissel dechilTriert werden. 

In einer Technologie mit symmetrischem Schliissel wird 
fiir Ghiffrierung und Dechiffrierung derselbe Schliissel ver- 
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wcndel. In dcr dcrzeitigen Praxis crfolgcn ChifFricrung/De- 
chiffrierung und Schlusselgenerierung bei der Technologic 
mit symmetrischem Schlussel wesentlich schneller als bei 
der asymmetrischen Technologie mit dffentlichem Schlus- 
sel. 5 

Datcn wcrden normalcrweisc mit cincm nach dem Zu- 
fallsprinzip generierten symmetrischen Schliissel chiffriert. 
Dann wird der symmetrische Schliissel selber mil dem 6f- 
fentlichen Chiffrierschliissel des Benutzers chiffriert und 
mit dem Dokument gespeicherl, so dass er Teil des Doku- lO 
ments wird. 

In Fig. 3 wird das chiffrierte Dokument und die elektroni- 
sche Signatur zum Zweck der Aufbewahrung an den Tresor 
des Anwendungsservers gesendet (Block 306). Nach Emp- 
fang des chiffricrlcn Dokuinents (Block 308) bcglaubigl. die 15 
im Tresor des Anwendungsservers laufende Anwendung die 
Signatur (Block 310), indem sie mit ihrem eigenen privaten 
Signierschlussel noch einmal signien. 

Die Beglaubigung einer Signatur in einem elektronischen 
Kontext bedeutcl, dass einc dritte Partei, die als "Notar" fun- 20 
giert, den Inhalt einer Signatur zertifiziert. (Die Begriffe 
"Notar" und "beglaubigen" haben in dieser Spezifikation 
nicht den vollen Bedeutungsumfang aller Pflichten die ei- 
nem Notariat von einer Regierungsbehordc iibcrtragen wer- 
den.) AUgemein erfolgt eine elektronische Beglaubigung ei- 25 
ner Signatur als zusatzliche VorsichtsmaBnahme, um eine 
spatere unberechtigte Anderung der Signatur zu verhindem. 
Im Fall der vorliegenden Erfindung verhinderl die Beglaubi- 
gung einer digilalen Signatur des Benutzers, dass dieser das 
Originaldokument im Dokumentarchiv ersetzt oder andert. 30 
Eine Priifung der beglaubigten Signatur des Dokuments 
wiirde jegliche Inkonsistenz ans Tageslicht bringen. 

Eine beglaubigte elektronische Signatur cnthalt zwci In- 
fonnationen, namlich die Signatur des betreiTenden Dalen- 
elements durch den Urheber und die Signatur der Urhebersi- 35 
gnatur durch den Notar. Die Signatur des Notars soilte liber 
die Urhebersignatur und den aktuellen Zeitstempel berech- 
net werden. 

Die Anwendung, die im Tresor des Anwendungsservers 
lauft, signiert dann das von ihr empfangene Dokument 40 
(Block 312). Da die Daten, die er vom Dokumenturheber 
empfangt, chififriert sind, kennt der Anwendungsserver fak- 
lisch den Inhalt des Dokuments iiicht. Deshalb wird geniaB 
der Erfindung diese zweite Signatur uber das chififrierte Do- 
kument und die beglaubigte Urhebersignatur berechnet. Die 45 
Signatur des Anwendungsservers stellt einen Empfangsbe- 
wcis dar, dcr dem Dokumenturheber (deiiijenigen, dcr das 
Dokument deponiert), beweist, dass der Archivdiensl das 
Dokument empfangen hat. Die Erstellung des Dokuments 
im Archiv kann dann spater nicht mehr vom Archivdienst 50 
gcleugnet wcrden. 

Das chifTricrle Dokumcnl, die beglaubigte Urhebersigna- 
tur und der Empfangsbeweis werden im Archiv des Anwen- 
dungsservers oder in der Anwendungsdatenbank gespei- 
chert (Block 314). Der Empfangsbeweis wird an den Tresor 55 
des Dokumenturhebcrs gesendet (Block 316). Dcr Tresor 
des Dokumenturhebcrs prufl die Richligkeit des Empfangs- 
beweises (Block 318), indem die Signatur des chiffrierten 
Dokuments iiberpruft wird. Der Tresor des Dokumenturhe- 
bcrs priift auch die Aktualitat des Zeitstempels in der be- 60 
glaubigten Signatur (Block 320). Die Tolcranz fur den Zeit- 
stempel hangt von der Anwendung ab. Wenn bei einer dieser 
Priifiingen ein Fehler erkanni wird, wird eine Fehlermel- 
dung an den AS-Tresor gesendet (Block 322) und im Sy- 
stem protokoUiert. Wenn der Empfang korrekt und aktuell 65 
ist, sendet die Anwendung, die ini Tresor des Benutzers 
lauft, den Empfangsbeweis an den verursachenden Benutzer 
zuriick (Block 324), damit sie fiir eine spatere Referenz in 
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einem lokalen Cache gespeichert wird, falls bewiesen wer- 
den muB, dass das Dokument im Archiv gespeichert worden 
ist. 

Es ist moglich, dass der Dokumenturheber das Dokument 
mit einem eigenen Verfahren signieren und/oder chiffrieren 
kann, bcvor cr cs zur Speichcrung in scincn Tresor sendet. 
Das Dokumentarchiv beachtet den Inhalt des zu speichem- 
den Dokuments aber nicht. Ein chiffriertes Dokument wird 
deshalb vom Tresor des Benutzers emeut signiert und chif- 
friert, wie jedes andere Dokument. 

Fig. 4 ist ein FluBdiagrainm, in dem dargestellt ist, welche 
Schritte gemaB der bevorzugten Ausfuhrungsform der Erfin- 
dung ausgefuhrt werden miissen, damit das Dokument von 
einem anfordemden Benutzer abgerufen werden kann, der 
unler einem von Dokumenturheber vcrwalteten Nachweis- 
typ, der als ZugrilTskonlroll-Liste (AdL) bezeichnel wird, 
autorisiert worden ist. Wie in Fig. 3 sind die Verfahrens- 
schritte zwischen drei Aktoren, namlich Benutzer, Anwen- 
dungsserver und Anforderer, aufgeteilt, auf der Basis, dass 
deren pcrsonliche Trcsore im Prinzip sichcre Erweiterungen 
ihrer betreffenden Arbeitsbereiche sind. 

In Fig, 4A stellt der Benutzer an seine TVesoranwendung 
eine Anforderung, ein Dokument aus dem Anwendungsser- 
verarchiv abzurufcn (Block 400), und seine Tresoranwen- 
dung sendet dann ihrerseits die Dokumentabrufanforderung 
an den Anwendungsserver-Tresor (Block 402). 

Die Tresoranwendung des Anwendungsservers empfangt 
die Zugriffsanforderung (Block 404) und ruft das chiffrierte 
Dokument und die beglaubigte Signatur aus der Anwen- 
dungsdatenbank ab. 

Die Tresoranwendung des Anwendungsservers sendet 
das chiffrierte Dokument und die beglaubigte Signatur an 
den Tresor des Dokumenturhebcrs. Der Tresor des Anwen- 
dungsservers sendet auch die Identitat des anfordernden Be- 
nutzertresors an den Tresor des Urhebers (Block 408). 

Der Tresor des Urhebers priift, ob der anfordemde Benut- 
zer die Berechtigung zum Abrufen des Dokuments besitzt 
(Block 410). In dcr bevorzugten Ausfuhrungsform wird die 
DokumentzugriffskontroUe durch Zugriffskontroll-Listen 
aktiviert, mit denen der Zugriff auf das Dokument auf auto- 
risierte Stellen beschrankt wird, Eine Zugriffskontroli-Liste 
(A(IL) ist einem Dokument zugeordnet und wird im Tresor 
des Dokumenturhebcrs gespeichert und verwaltet wie weiter 
unten im Zusammenhang mit Fig. 5A und Fig. 6 beschrie- 
ben. Die ACL muB gepruft werden, wenn ein Benutzer eine 
Dokumentabrufanforderung sendet. Ein anfordemder Be- 
nutzer erhalt nur eine Kopie des Dokuments, wenn er das 
Zugriffsrecht besitzt. 

In der bevorzugten Ausfuhrungsform der Erfindung kon- 
nen Fahigkeitslisten benutzt werden, damit anfordemde Be- 
nutzer ihr Zugriffsrecht auf Dokumcntc im voraus verifizie- 
ren konncn. In einer Fahigkcilslislc sind allc Dokumcnte in 
einem Archiv aufgefiihrt, fiir die ein bestimmter Benutzer 
das Zugriffsrecht besitzt. Die Fahigkeitsliste eines anfor- 
dernden Benutzers wird in seinem eigenen Tresor gespei- 
chert und verwaltet. Dcr Anfordemde braucht nur dicse Li- 
sle durchzuschen, um fcstzustcUcn, auf wclchc Dokumcnte 
er zugreifen kann. Verwendung und Verwaltung der Fahig- 
keitslisten werden im Zusammenhang mit Fig, 5B ausfuhr- 
Ucher beschrieben. 

Wenn dcr anfordemde Benutzer keine Zugriffsbercchti- 
gung auf das Dokument besitzt, wird eine Fehlermeldung an 
den Urheber gesendet und im System protokoUiert (Block 
414). 

In Fig. 4B wird, wenn der anfordemde Benutzer die Zu- 
grilTsberechtigung fiir das Dokument besitzt, das Dokument 
von der Tresoranwendung des Urhebers dechiffriert (Block 
416) und die beglaubigte Signatur iiberpruft (Block 418). Da 
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die Originalsignatur des Urhebcrs iibcr den unchifFricrten 
Dokumentinhalt berechnet wurde, konnen nur diejenigen 
Benutzer, die auf den Dokumentinhalt zugreifen konnen 
(d. h. die den privaten Schliissel des Urhebers besitzen), die 
Signatur priifen. Wenn die empfangene Signatur nicht dem 
entsprichl, was der Dokumcnturhcber in seincn cigcnen Da- 
teien stehen hat, ist klar, dass es sich nicht um dieselbe Ver- 
sion des Dokuments handelt, die deponiert wurde, und der 
Urheber sendet eine Fehlemachricht an den Anwendungs- 
server (Block 420). 

Wenn die Signatur gepruft worden ist, sendet der Urheber 
das dechiffrierte Dokument und die beglaubigte Signatur an 
den Tresor des anfordemden Benutzers (Block 422). 

Nach Empfang des dechiffrierten Dokuments versucht 
die Tresoranwendung des anfordcrnden Benutzers, die be- 
glaubigte Signatur des Urhebers zu priifen (Block 424). 
Wenn der anfordernde Benutzer sie nicht verifizieren kann, 
wird eine Fehlermeldung an den Urheber gesendet und im 
System protokolliert. (Block 426). 

Wenn die beglaubigte Signatur des Urhebers vcrifiziert 
werden kann, signiert der IVesor des Anfordemden die mit 
dem Dokument empfangene beglaubigte Signatur. Diese Si- 
gnatur wird iiber die beglaubigte Signatur und iiber den ak- 
tuellen ZeiLstempel berechnet und stellt einen Zustellungs- 
beweis dar (Block 428), der belegt, dass der anfordernde Be- 
nutzer das Dokument aus dem Archiv abgerufen hat. Der 
Tresor des Anfordemden sendet das dechiffrierte Dokument 
zusammen mit dem von ihm generierlen Empfangsbeweis 
an den Arbeitsplatz des Anfordemden (Block 430). Der Tre- 
sor des Anfordemden sendet auch den Empfangsbeweis an 
den Anwendungsserver-Tresor (Block 432). Der Anwen- 
dungsserver verifiziert die Signatur des Anforderertresors 
auf dem Empfangsbeweis (Block 434). Wenn die Signatur 
nicht verifiziert werden kann, wird eine Fehlenneidung an 
den Urheber gesendet und im System protokolliert (Block 
436). Wenn die Signatur verifiziert werden kann, speichert 
der Anwendungsservertresor den Beweis in den Anwen- 
dungsdatcnbank, falls der Anwendungsscrvcrspater nach- 
weisen muB, dass der Anfordernde das Dokument tatsach- 
lich abgerufen hat. 

Unveranderlichkeit der ZugriffskontroUe fur den Doku- 
mentabruf 

Wie bereits erwahnt besteht in einem Datenarchiv die 
Notwendigkeit eine DokumentzugriffskontroUe. Dies be- 
deutet, dass nur die voin Dokumcnteigner autorisicrtcn Be- 
nutzer Einsicht in die Dokumenle haben, und dass Doku- 
mentzugriffserlaubnisse nur vom Dokumenteigner (d. h. 
vom Urheber) selber und von den Personen, die vom Doku- 
menteigner die Bcrechiigung zum Andem der Zugriffskon- 
trolI-Lisie fiir das Dokument erhallcn haben, gciindert war- 
den konnen. Es ist wichtig, dass sichei^estellt ist, dass selbst 
der Archiv verwalter nicht in der Lage ist, ohne Auiorisie- 
rung durch den Dokumenteigner die Zugriffsberechtigungen 
fur ein Dokument zu andern. 

Es gibi zwci verschicdcnc Arlcn von Anwcndungsanfor- 
derungen fur die Unveranderlichkeit der Dokumentzugriffs- 
kontroUe. Der Dokumentzugriff muB in folgenden Fallen 
gepruft werden: 

1) wenn ein Benutzer eine Suche durchfiihrt, um alle 
Dokumente zu finden, fur die er die Berechtigung zum 
Beyachten hat und 

2) wenn ein Benutzer tatsachlich ein Dokument abruft. 

Alle Anwendungen miissen die ZugriffskontroUe beim 
Dokumentabruf (Zugriffsart 2) erzwingen. Fiir diese Zu- 



griffsarl niuB das Archiv garanticren, dass die Zugriffskon- 
troUe eines Dokuments nicht von einem nicht autorisierten 
Benutzer, z. B. einem Konkurrenten, geandert werden kann. 
In einigen Anwendungen ist es aber nicht erforderlich, 
5 dass ein Benutzer nicht das Dokument abfragen kann, um 
fcstzustcllen, wclchc Dokumente cr bctrachten darf. Dieses 
Wissen kann z. B. offline in geschaftlichen Besprechungen 
Oder telefonisch iibermittelt werden. In einem solchen Fall 
weiB der Benutzer bereits, auf welche Dokumente er zugrei- 
10 fen kann, und seine Kenntnis seines eigenen Dokumentzu- 
griffs kann nicht von Aktionen des Archivs beeinUuBt wer- 
den. 

Ein System, das die Unveranderlichkeit der Zugriffskon- 
troUe nur beim Dokumentabruf, aber nicht bei der Doku- 

15 mentsuche erzwingt, ist Gegcnstiind unsercr glcichzeitigcn 
Anmeldung mit dem Tilel "System for Electronic Reposi- 
tory of Data Enforcing Access ConU-ol on Data ReUieval" 
(kanadische Patentanmeldung 2,256,934). Die diesem Sy- 
stem wird die Zugriffskontrollinformation in der Datenbank 

20 bzw. im Archiv des Anwendungsscrvcrs gespeichert. 

Eine strengere Form der Unveranderlichkeit der Zugriffs- 
kontroUe, die dort verwendet werden sollte, wo Benutzer 
nicht uber unabhangige Information iiber ihren Dokument- 
zugriff verfiigcn, betrifft sowohl die Dokunientsuchc als 

25 auch den Dokumentabmf. Fiir diese Forderung kann die Zu- 
griffskontrollinformation nicht in der Anwendungsdaten- 
bank gespeichert werden. Statt dessen wird sie im Tresor des 
Dokumenteigners gespeichert. Dieses Schema ist Gegen- 
stand der vorUegenden Erfindung und wird durch die HuB- 

30 diagramme in Fig. 5 und Fig. 6 iUustriert und weiter unten 
beschrieben. 

In der vorliegenden Ausfuhrungsform ist jedem Doku- 
ment cine ZugriffskontroU-Liste (ACL) zugeordnet, die die 
DokumenlzugrifTsberechtigung verschiedener Benutzer 

35 fesUegt. AuBerdem besitzt jeder Benutzer im System eine 
Fahigkeitsliste, in der alle gespeicherten Dokumente, von 
denen der Benutzer nicht der Signer ist, auf die er aber zu- 
greifen kann, idcntifizicrt werden. 

Um die Unveranderlichkeit zu garantieren, wird jede 

40 ACL im Tresor des Dokumenturhebers verarbeitet, wie in 
Fig. 5A dargestellt, und paraUel dazu wird jede Fahigkeits- 
liste im entsprechenden Benutzertresor verarbeitet wie in 
Fig. 5B dargesteUt. 

In Fig. 5 A stellt der Tresor des Dokumenteigners nach ei- 

45 ner Aktualisierung einer ACL (Block 500) fest, welche Be- 
nutzer von der Anderung betroffen sind (Block 502), und 
cine Nachricht, in der die Art der Zugriffsandcrung (Hinzu- 
fugung, Erweiterung oder Beschrankung) angegeben wird, 
wird im Tresor jedes Benutzers deponiert, dessen Zugriffs- 

50 recht auf das Dokument geandert worden ist (Block 504). 
Jeder ACT., ist cine Vcrsionsnummcr und ein ZcitMcmpcl 
der Ictztcn Anderung zugeordnet. Der Tresor des Doku- 
menteigners erhoht dann inkrementell die Versionsnummer 
der ACL (Block 506) und erseizt deren alten Zeitstempel 

55 durch den aktueUen Zeitstempel (Block 508). Aus der aktu- 
cllcn Vcrsionsnummcr und dem Zxiitstcmpcl, die der ACL 
jctzl zugeordnet sind, wird ein Token, das die Unverander- 
lichkeit der ACL garantieren soil, erstellt und vom Tresor 
des Dokumenturhebers signiert (Block 510). Die ACL wird 

60 ebenfalls vom Tresor des Dokumenturhebers signiert (Block 
512). 

Das ACL-Token wird dann an den Tresor jedes zum Zu- 
griff auf das Dokument berechtigten Benutzers gesendet, wo 
es zur Speicherung mit der Zugriftsanwendung des Benut- 
65 zers auf dessen Arbeitsplatz gespeichert wird (Block 514), 
daiiiit eine spiilere Verifizierung der ACL moglich ist. Das 
signierte Token wird zur Speicherung an den Arbeitsplatz 
des Dokumenturhebers gesendet (Block 516). Da der Doku- 



DE 199 60 978 A 1 



11 



12 



mcniurhcber einc Kopic dcs signiertcn Tokens besitzt, wird 
er letztlich zum Arbiter dariiber, ob die Dokument-ACL ak- 
tuell ist Oder nicht. 

Wenn ein Geschaflspartner ein Dokument abrufen 
mochte, sendet die AS- Tresoranwendung das chiffrierte Do- 
kument wie oben beschrieben an den Trcsor dcs Urhebers 
(Block 408 in Fig. 4A). Um die Berechtigung des Anfor- 
demden zu verifizieren (Block 412 in Fig. 4A), schaut der 
Tresor des Dokumenturhebers einfach in der lokal gespei- 
cherten verifizierlen ACL nach, ob der Anfordernde das Zu- 
griffsrecht auf das angegebene Dokument besitzt Mil die- 
sem Verfahren kann niemand die in der Anwendungsdaten- 
bank gespeicherle ACL andem, ohne dass dies vom Tresor 
des Dokumenturhebers bemerkt wird. 

Wie oben beschrieben bcsitzl jcder Bcnutzer, der Eigner 
von Dokunienten iin Archiv isl, auf seinein Arbeitsplatz die 
signierten Tokens der korrekten Version jeder ACL. Die 
ACL-Versionen im Benutzertresor werden verifiziert, indem 
das auf dem Arbeitsplatz des Benutzers gespeicherte Token 
init dem im Benutzertresor gespeichcrten vcrglichen wird. 
Dieser Vergleich kann zu verschiedenen Zeiten ausgefuhrt 
werden; eine gute Gelegenheit zur Verifizierung der in ei- 
nem Benutzertresor gespeicherten ACLs ist das Logon, so 
dassjedesmal, wenn sich ein Benutzerbeim System anmel- 
det, die ACLs verifiziert werden. 

Wenn die Verifizierung der ACL nicht gelingt, kann die 
Benutzerlresoranwendung automatisch die Verarbeitung 
jeglicher Anforderung, ein von der ACL geschiitztes Doku- 
ment abzurufen, einslellen. Dieser Zusland der Unverander- 
lichkeit des Dokuments wurde weiterbestehen, bis der Be- 
nutzer entweder eine neue ACL erstellt oder die vorhandene 
ACL neu zertifiziert. Der ProzeB der Rezertifizierung der 
vorhandcnen AC\^ wiirdc die Synchronisicrung dcs im Be- 
nutzertresor gespeicherten ACL- Tokens init dem auf dem 
Arbeitsplatz des Benutzers gespeicherten Token einschlie- 
Ben. 

Bei jeder Aktualisierung einer ACL werden parallel zu 
den in Fig. 5 A aufgefiihrten Schriltcn cinigc andcrc Schritte 
ausgefiihrt. Diese zusatzlichen Schritte sind in Fig. 5B dar- 
gestellt. 

Jeder Benutzertresor ist fur die Verwaltung einer Fahig- 
keitsliste zustandig, die eine Auflistung aller Dokumente, 
auf die der Benutzer zugreifen darf, enthalt. Die Aktuafitat 
der Fahigkeitsliste selber wird durch eine Versionsnummer 
und einen neuesten Zeitstempel ideniifiziert. Wenn eine 
Nachricht, die eine Anderung der Zugritfsmoglichkeit eines 
Benutzers auf ein Dokument (cine Aktualisierung einer Do- 
kument-ACL) mitteilt, im Tresor des Benutzers eingeht 
(Block 520), wird die Fahigkeitsliste im Tresor des Benut- 
zers automatisch mit Versionsnummer (Block 522) und 
ncucstcm Zeitstempel (Block 524) aktualisicrt. "Ober die 
Versionsnummer und den Zeitstempel (Block 526) wird ein 
Token berechnet, das zur Verifizierung der Richtigkeit der 
Fahigkeitsliste verwendet werden kann. Das Token wird 
vom Tresor des Benutzers signiert (Block 528), und die Fa- 
higkeitsliste ebcnfalls (Block 530). Das signicrtc Token und 
die signierte FahigkcilsUstc werden im Tresor dcs Benutzers 
gespeichert (Block 532), der Tresor des Benutzers bewahrt 
aber die alte Fahigkeitsliste und ihr Token auf, da das Token 
fiir die alte Fahigkeitsliste dem auf dem Arbeitsplatz des Be- 
nutzers gespeichcrten Token cntspricht, bis cine Aktualisie- 
rung vorgenommen werden kann. 

Eine Mdglichkeit zur Synchronisation der aktuellen Fa- 
higkeitsliste mit dem auf dem Arbeitsplatz gespeicherten 
Token des entsprechenden Benutzers bestehl darin, dies au- 
tomatisch zu tun, wenn sich der Benutzer beim System an- 
meldet (Block 532). Die Richtigkeit des Tokens auf dem Ar- 
beitsplatz des Benutzers kann mil dem im Tresor des Benut- 



zers aufbcwahrtcn alten Token vcrglichen werden, und dann 
kann das aktualisierte Token an den Arbeitsplatz des Benut- 
zers gesendet werden (Block 534). Sobald das alte Token 
auf dem Arbeitsplatz des Benutzers ersetzi worden ist, kann 
5 die alte Fahigkeitsliste und ihr Token aus dem Tresor des 
Bcnuiy.crs geloscht werden. 

Eine andere Alternative zur Aktualisierung des Tokens 
der Fahigkeitsliste auf dem Arbeitsplatz des Benutzers 
(nicht dargestelit) zu aklualisieren, ware, dass der Benutzer 
10 die Initative eigreifen muB, um Aktualisierungen der Fahig- 
keitsliste seit seiner letzlen Anmeldung beim System festzu- 
stellen. 

Um die Zusammengehorigkeit von ACLs und den Fahig- 
keitslisien sicherzustellen, muB die Umgebung, auf der das 

15 System basiert (z. B. das Produkl IBM Vault Registry) einc 
garanlierte Nachrichlenzustellung fiir Nachrichten, die von 
einem Tresor in einem anderen deponiert werden, bieten. 
Die Garantie der Zustellung einer Fahigkeitsliste kann auch 
durch die Anwendung erfolgen, indem z. B. eine Bestati- 

20 gung von dem Benutzer, der die Aktualisierung empfangt, 
gefordert wird. 

Als Resultat dieses Schemas werden ACX und Fahig- 
keitsliste von ihren Eignem gespeichert. Keine Partei im Sy- 
stem kann die Zugriffskontroll-Liste eines Dokuments an- 

25 dern, ohne dass der Dokumenteigner dies erfahrt. AuBerdem 
kann keine Partei im System das Wissen eines Benutzers 
uber sein Zugriffsrecht auf ein Dokument (d. h. eine Fahig- 
keit) andern, ohne dass der autorisierte Benutzer dies be- 
merkt. 

30 Im Gegensatz zu dem Zugriflfskontrollschema, das in un- 
serer oben genannten, gleichzeitig anhangigen Anmeldung 
beschrieben wird, wo die Suche im Tresor des Anwendungs- 
servers stattfindct, erfolgt in der vorliegenden Erfindung die 
Suche nach Dokumenten, fiir die ein Benutzer die ZugrifTs- 

35 berechtigung besitzt, in der Tresoranwendung des Benutzers 
selber. 

Zuordnung von Eignerzugriffsrechten 

40 In manchen Umgebungen muB der Dokumenteigner die 
Moglichkeit haben, einer anderen Person die Erlaubnis zum 
Andern der Zugriffsliste des Dokuments zu erteilen. Zum 
Beispiel wenn der Eigner nicht da isl, kann ein anderer aulo- 
risierter Benutzer in der Lage sein, die Zugriffskontrolle fur 

45 das bestinmite Dokument zu aktualisieren. 

In einer bevorzugten Ausfuhrungsform der Eriindung 
kann die Aktualisierung von ACLs oder Fahigkeitslistcn 
von anderen Benutzem im System durchgefuhrt werden, in- 
dem die in Fig. 6 dargestellien Schritte ausgefuhrt werden. 

50 Zum Beispiel wenn eine Aktualisierung der ACL ver- 
suchl wird, muB der Benutzer, der die Aktualisierung vor- 
ninunt, in der Lage sein, das aktuellc signierte Token fur die 
ACL vorzulegen (Block 600). Das signierte Token wird zum 
Tresor des Benutzers gesendet (Block 602), der das signierte 

55 Token an den Tresor des Urhebers iibergibt (Block 604). 
Wenn dem aktualisierendcn Benutzer in der ACL dieses Do- 
kuments keine Eigncrzugriffsrechte zugewicsen worden 
sind, dann erkennt der Tresor des Dokumenteigners dies, 
und er verweigert die Aktualisierung und sendet eine Feh- 

60 lermeldung an den Tresor des Benutzers (Blocke 606 und 
608). 

Wenn der Tresor des Urhebers das Zugriffsrecht des si- 
gnierenden Benutzers auf das Dokument verifizieren kann, 
und wenn festgestellt wird, dass die Versionsnummer und 
65 der Zeitstempel des ACL-'ibkens aktuell sind (Block 606), 
wird die ACL aktualisicrt (Block 610), und ein neues Token 
wird generiert und signiert (Block 612) und im Tresor des 
Urhebers gespeichert (Block 714). Das neu signierte Token 
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wird an den Tresor des Dokumenturhcbers gesendct (Block 
616). Der Tresor des Aktualisierenden sendee das neue To- 
ken zur Speicherung an dessen Arbeitsplatz zuriick (Block 
618). Das neu signierte Token kann optional auch zur Spei- 
cherung im Archiv an den Tresor des Anwendungsservers 5 
gescndet werden (Block 620). 

Dieses Verfahren verlangt, dass zu jedem Zeitpunkt nur 
eine einzige P^son cine ACL-Aktualisierung durchfiihrt. 
Wenn zum Beispiel ein Dokumenteigner John Uriaub 
nimmt, kann er einer Mitarbeiterin Mary erlauben, die ACL lO 
seines Dokunients in seiner Abwesenheit zu aktualisieren, 
indera er Mary sein aktuelles Token fur die ACL des Doku- 
ments gibt. Mary fiihrt dann eine ACL-Aklualisierung 
durch, indem sie das Token durch ihren Tresor John's Tresor 
vorlegt. Mary eiiipfangt das neu signierte Token fur die ACL 15 
und gibt es John bei seiner Ruckkehr wieder zunick. Nach 
der Installation des neuen Tokens kann John selber eine 
ACL-Aktualisierung vomehmen. 

Datensicherung und -wiederherstellung 20 

Gelegentlich kann es notwendig sein, dass der Verwalter 
des Dokumentarchivs die Dokumentdatenbank aus einem 
vorherigen Backup wiederherstellt. Dies kann beispiels- 
weise bei einem katastrophalen Datenbankfehler, z. B. bei 25 
einem Festplattendefekt, der Fall sein. 

Die zu sichemden Daten sind die Dokumente selber, die 
ACLs (entweder in der Anwenderdatenbank oder in den 
Eignertresoren gespeichert), die Fahigkeitenlisten (fiir die 
Systeme, in denen sie implementiert sind, wie oben be- 30 
schrieben), und die Verifikationstokens von ACLs und Fa- 
higkeitsUsten. 

Nach einer Ruckspeicherung der Daten konncn Aktualic- 
rungen, die nach der letzten Sicherung voigenoimnen wur- 
den, verloren gegangen sein. Fiir die Zwecke der vorliegen- 35 
den Erfindung konnte es sich dabei auch um ACL- und Fa- 
higkeitslisten-Aktuaiisierungen handeln. Wenn dies ge- 
schieht, stimmen die auf den Benutzerarbeilsplatzen gespei- 
cherten Verifizierungstokens moglicherweise nicht mehr mit 
den Tokens in den entsprechenden Tresoren iiberein, so dass 40 
die Benutzer keinen Zugrilf mehr haben. Deshalb wurde als 
Standard fiir die Datenwiederherstellung in verschiedenen 
Situalionen das folgende System implementiert. Es wird an- 
genommen, dass die Sicherung zum Zeitpunkt ZEITl er- 
folgte, und die Ruckspeicherung zu einem spateren Zeit- 45 
punkt ZEII'2. Wenn eine voUstandige Ruckspeicherung der 
Dokumentdatenbank, der ACLs, der Fahigkeitslisten und 
der entsprechenden in den Tresoren gespeicherten Tokens 
durchgefiihrt wird, konnen die Benutzer, die vor ZEITl auf 
ein Dokument zugreifen konnten, dies auch nach ZEIT2 tun. 50 
Dies bcdeutet, dass wenn ein Benutzer vor ZEITl bcrcchtigt 
war, die Bcrechligung abcr zwischen ZEITl und ZEIT2 wi- 
derrufen wurde, dieser Benutzer dennoch auf das Dokument 
zugreifen kann, bis der Eigner des Dokuments das ACL-To- 
ken priift. Nach einer vollstandigen Datenriickspeicherung 55 
sollten deshalb allc Benutzer cine Priifung dor ACT^ und der 
Fahigkeilsiiste durchfuhrcn. 

Wenn nur die Dokumentdatenbank zuriickgespeichert 
wurde und die ACLs, die Fahigkeitslisten und die in den 
Tresoren gespeicherten Ibkens unberiihrt geblieben sind, 60 
konnen Benutzer festiJtcllcn, dass sie das Zugrilfsrccht fiir 
ein Dokument besitzen, das gar nicht in der Datenbank ge- 
speichert ist, da das Dokument nach ZEITl hinzugefugi 
wurde, aber nachher bei der Ruckspeicherung der Daten- 
bank verloren gegangen ist. Da alle Tokens aktuelL sind, gibt 65 
es keine weiteren Anomalien. 

Ein anderer Fall iiegt vor, wenn in einem System keine 
Fahigkeitslisten benulzt werden, die ACXs aber in der An- 



wendungsdatenbank gespeichert werden. Wenn die Doku- 
mentdatenbank und die ACL zuriickgespeichert worden 
sind, wahrend die in den Tresoren gespeicherten Tokens 
nicht zuriickgespeichert wurden, stellen die Benutzer test, 
dass alle Dokumente, deren ACL nach ZETYl geandert wur- 
den, nicht mehr zuganglich sind. Dies kommtdaher, dass die 
ACL-Tokens in der Anwendungsdatenbank nicht mit den in 
den Tresoren der einzelnen Eigner gespeicherten Tokens 
ubereinstimmen. Um dieses Problem zu losen, miissen alle 
Dokumenteigner die ACLs aktualisieren. Eine Moglichkeit 
dazu ist, dass der Verwalter die alten ACLs (die zu ZETTl in 
Kraft waren), den Dokumenteignem sendet und sie biitet, 
die entsprechenden Tokens in ihren Tresoren neu zu instal- 
lieren. Diese Aktualisierung wird manuell, nicht automa- 
tisch, vorgenoinmen, und die Dokumente eincs Eigners sind 
unzuganghch, bis er die Aktualisierung durchgefiihrt hat. 

In Situationen, in denen Datenbankinkonsistenzen ver- 
mieden werden miissen, kann der Archivverwalter nach ei- 
ner Riickspeicherung den ZugrifT auf alle Dokumente sper- 
rcn, bis der Urheber FehlcrbchebungsmaBnahmcn cigriffen 
hat. Diese Sperre kann fur alle Dokumente im Archiv gelten 
Oder nur fur einen Teil der Dokumente, bei denen die Konsi- 
stenz am kritischsten ist. In diesem Fall muB man sich auf 
den Archivverwalter verlassen, um die Konsistenz des Sy- 
stems zu wahren. Wie bereits erwahnt hat der Verwalter aber 
in keinem Fall die Moglichkeit, Benutzerzugriffsrechte auf 
ein Dokument zu erteilen oder zu widerrufen. 

In der obigen Beschreibung wurden bevorzugte Ausfiih- 
rungsfonnen der vorliegenden Erfindung mittels des Pro- 
dukts IBM Vault Registry beschrieben. Dem Fachmann ist 
aber klar, dass die vorliegende Erfindung auch mit anderen 
Produkten, die iiber ahnliche Funktionen verfiigen, imple- 
mentiert werden konnte, z. B. mit sicheren tresorahnlichen 
Umgebungen, die sich lokal auf dem Arbeitsplatz der ein- 
zelnen Benutzer befinden. Solche und andere Abwandlun- 
gen, die fiir den Fachmann offensichtlich sind, sollen eben- 
falls unter den Schutzumfang der beigefiigten Anspriiche 
fallen. 

Patentanspriiche 

1. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 
eine Kommunikationsumgebung mit 

(i) einem ersten Agentenprogramm fiir einen 
Computer, der cine clcktronischc Datendatci im 
Datenarchivsystem deponiert, und 

(ii) einem zweiten Agentenprogramm fiir einen 
ersten Benutzercomputer mit Zugriffsrecht auf die 
clcktronischc Datendatci; 

einer Nachwcislisle fiir die elektronische Datendatci, in 
der ZugriffskontroUen fiir die elektronische Datendatci 
aufgefiihrt sind, wobei die Nachweisliste fiir das erste 
Agentenprogramm zuganglich ist und von diesem ver- 
waltct wird; 

eine erste Aufzeichnung der ZugrilTsrechte des ersten 
Benutzercomputers auf die elektronische Datendatci, 
wobei die erste Aufzeichnung fiir das zweile Agenten- 
programm zuganglich ist und von diesem verwaltet 
wird; 

Mittel, um Anderungen an der Nachweisliste, die die 
Zugriffsrechte des ersten Benutzercomputers auf die 
elektronische Datendatci betreifen, vom ersten Agen- 
tenprogramm an das zweite Agentenprogramm zu sen- 
den, um die erste Aufzeichnung zu aktualisieren; und^ 
Mittel, mit denen das erste Agentenprogramm die Zu- 
griffsrechte des ersten Benutzercomputers auf die elek- 
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ironischc Datendatei priifcn kann, bevor die clcktroni- 
sche Datendatei fiir das zweite Agentenprogramm frei- 
gegeben wird. 

2. Das sichere System nach Anspruch 1, wobei das er- 
ste Agentenprogramm eine sichere Erweiterung des de- 5 
ponicrcndcn Computers und das zwcile Agentenpro- 
gramm eine sichere Erweiterung des ersten Benutzer- 
computers ist. 

3. Das sichere System nach Anspruch 2, das auBerdem 
Mittel besitzt, um die Anderungen der Nachweisliste, lO 
die die Zugriffsrechte des ersten Benulzercomputers 
auf die elektronische Datendatei betreffen, vom zwei- 
ten Agentenprogramm an den ersten Benutzercompu- 
ter zu senden. 

4. Das sichere System nach Anspruch 1 oder 2, das au- 15 
Berdem folgendes umfaBt: 

ein dritles Agentenprogramm fur einen zweiten Benut- 
zercomputer mit Zugriffsrecht auf die elektronische 
Datendatei; und 

cine zweite Aufzcichnung der Zugriffsrechte des zwei- 20 
ten Benulzercomputers auf die elektronische Datenda- 
tei, wobei die Aufzeichnung fur das dritte Agentenpro- 
gramm zuganglich ist und von diesem verwaltet wird, 
und wobei das Mittel um die Anderungen an der Nach- 
weisliste, die die Zugriffsrechte des ersten Benulzer- 25 
computers auf die elektronische Datendatei betreffen, 
zur Aktualisierung der ersten Aufzeichnung an das 
zweite Agentenprogramm zu ubertragen, Mittel um- 
faBt, um Anderungen an der Nachweisliste, die die Zu- 
griffsrechte des zweiten Benulzercomputers auf die 30 
elektronische Datendatei betreffen, zum Aktualisieren 
der zweiten Aufzeichnung vom ersten Agentenpro- 
gramm an das dritte Agentenprogramm zu ubertragen;' 
und 

wobei das Mittel, mit dem das erste Agentenprogramm 35 
die Zugriffsrechte des ersten Benulzercomputers auf 
die elektronische Datendatei verifiziert, bevor die elek- 
tronische Datendatei fiir das zweite Agentenprogramm 
freigegeben wird, ein Mittel umfaBt, mil dem das erste 
Agentenprogramm die Zugriffsrechte des zweiten Be- 40 
nulzercomputers auf die elektronische Datendatei veri- 
fiziert, bevor die elektronische Datendatei fur das dritte 
Agentenprogramm freigegeben wird, 

5. Das sichere System nach Anspruch 4, wobei das 
dritte Agentenprograimn eine sichere Erweiterung des 45 
zweiten Benulzercomputers ist. 

6. Das sichere System nach Anspruch 5, das auBerdem 
Mittel besilzi, um die Anderungen der Nachweisliste, 
die die Zugriffsrechte des zweiten Benulzercomputers 
auf die elektronische Datendatei beu-effen, vom dritten 50 
Agentenprogramm an den zweiten Benutzcrcomputer 

zu scndcn. 

7. Das sichere System nach Anspruch 2 oder 5, wobei 
die Kommunikalionsumgebung einen Server umfaBt. 

8. Das sichere System nach Anspruch 1, 2 oder 5, das 55 
auBerdem in der Kommunikationsumgcbung cine 
Schnittslellc zuin Daienarchivsystcin umfaBt, die daran 
angepaBt ist, alle Ubertragungen zwischen dem Dalen- 
archivsystem und dem Agentenprogramm zu empfan- 
gen. 60 

9. Das sichere System nach Anspruch 8, wobei die 
Schnittstelle eine sichere Erweiterung des Datenar- 
chivsystems ist. 

10. Ein Verfahren fur die Verwaltung eines sicheren 
elekU*onischen Datensuchsystems fiir ein elektroni- 65 
sches Datenarchiv, wobei das System eine Nachweisli- 
ste, in der Zugriffsrechte auf die elektronische Daten- 
datei im Datenarchiv aufgefuhrt sind, und eine Auf- 
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zcichnung, in der Dokumentzugriffsrcchtc fiir jeden 
Computer mit Zugriff auf die im Archiv gespeicherten 
elekU-onischen Daten aufgefuhrt sind, besitzt, wobei 
das Verfahren folgende Schritte umfaBt: 
Aktualisieren einer Nachweisliste fiir eine im Archiv 
gespeichcrte elektronische Datendatei; 
Identifizieren aller Computer, deren Zugriffsrecht auf 
die elektronische Datendatei von der Aktualisierung 
betroffen ist; 

Ubertragen der Zugriffsanderung an alle betroffenen 
Computer; 

Aktualisieren der Zugriffsrechtaufzeichnungen aller 

betroffenen Computer; und 

Ubertragen der akiualisierten Zugriffsrechtaufzeich- 
nungen an die betroffenen Computer 

11. Ein sicheres System zum Suchen von elekUroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 

Mittel zum Verwalten eine Nachweisliste, in der Zu- 
griffskontrollen fiir jede im Datenarchivsystem gespei- 
cherte elektronische Dalei aufgefuhrt sind; 
Mittel zum Beschranken des Zugriffs auf jede Nach- 
weisliste auf einen Computer milDeponierungsberech- 
ligung; 

Mittel zum Verwalten einer Aufzeichnung, in der die 
Zugriffsrechte auf die elektronische Datendatei fur je- 
den Computer mit Zugriffsrecht auf mindestens eine 
elekU^onische Datendatei im Datenarchivsystem aufge- 
fuhrt sind; 

Mittel, um den Zugriff auf die Aufzeichnung auf den 
zugehorigen Computer mit Zugriffsrechten zu be- 
schranken; und 

Mittel zum Aktualisieren der Aufzeichnung fiir jeden 
Computer, der von einer Zugriffsanderung in einer 
Nachweisliste betroffen ist. 

12. Ein compuleriesbarer Speicher zum Speichem der 
Instruktionen zur Verwendung bei der Ausfiihrung des 
Vcrfahrens nach Anspruch 10 auf einem Computer. 
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